在这一星期漏洞消息中，有两个已知漏洞利用情形需优先关注，包括2021年初Apache Flink修补的CVE-2020-17519，以及2023年NextGen Healthcare Mirth Connect（医疗保健数据集成平台）修补的CVE-2023-43208，最近美CISA已确认有攻击者锁定利用的情形。

其他重要漏洞修补动向，包括Git、GitLab、GitHub，以及Veeam与威联通NAS的漏洞修补。特别的是，还有两项修补与AI相关，包括Python套件llama_cpp_python修补一重大漏洞，研究人员揭露此一名为Llama Drama的漏洞恐导致系统数据外流，而在Intel的5月例行安全更新中，亦修补一项存在于AI模型压缩工具Neural Compressor的重大漏洞。

在威胁态势焦点上，这一星期有多起网络攻击事件揭露与中国黑客锁定攻击有关，攻击目标涵盖欧洲、美洲与南海多国，我们整理如下：

●美国AI专家遭锁定，攻击者对其散布恶意程序SugarGh0st RAT，资安业者Proofpoint指出这起攻击行动锁定目标不到10人，极具针对性。由于5月初传出美国政府有意限制中国存取生成式AI服务，不排除攻击者与中国有所关连。
●南海各国政府高层接连遭中国黑客组织Unfading Sea Haze锁定攻击，资安业者Bitdefender已确认至少有8个军事单位与政府机关受害，而调查相关攻击行动显示黑客已暗中活动超过5年。
●意大利企业遭中国黑客组织APT41锁定，被部署名为KeyPlug的后门程序，资安业者将其手法与今年2月中国资安业者安洵流出数据比对，发现文档所提Hector的RAT木马程序，很可能就是本次调查的KeyPlug。

其他攻击手法与态势，我们认为近期有2类型的攻击活动可多加留意，包括利用非法代理服务器、滥用Foxit PDF Reader与PuTTY等多款知名工具的现况。

●黑客借由代理服务器服务（Residential Proxy）从事攻击的情况增加，最新发现是中国黑客利用非法代理服务器ORB网络隐藏连接行踪。
●Foxit PDF Reader用户近期遭攻击行动锁定，黑客是利用用户经常未详细视图弹出式对话框内容等方式，针对其用户散布多种恶意程序。
●又有攻击者通过恶意广告声称提供PuTTY、WinSCP等知名工具，显然这样的攻击行动是锁定企业对企业组织的系统管理员而来。

在资安防御态势上，台湾资安大会的新闻仍是最大焦点，不仅揭露国内最新发展，像是我国金管会资安推动与政府零信任架构推动现况，也有最新国际动向解析，包括最新欧盟重要资安法规（NIS 2、DORA、网络韧性法）趋势，荷兰网络威胁态势与防护经验等。

另外，在打击网络诈骗领域最近一连有两起重要消息，一是Tinder母公司Match Group，社交平台Meta与Coinbase等多家加密货币交易平台连首宣布成立Tech Against Scams联盟，聚焦打击网络爱情诈骗与杀猪骗局；一是台湾防诈及资安公司Gogolook（走着瞧-创）举行重大消息记者会，宣布董事会通过1.56亿元并购荷兰的数位防诈服务商ScamAdviser，期待进一步深入走进企业防诈服务，以及跨入欧美市场。

【5月20日】与人工智能系统开发相关的Python套件存在漏洞，恐导致数据外流、远程运行代码攻击

今天的资安日报新闻几乎都与AI有关，这些包含了锁定人工智能专家的攻击行动，针对人工智能开发工具的漏洞揭露，以及相关资安框架的发表。

其中最值得留意的部分，是关于人工智能开发工具的漏洞公布，其中用于开发相关系统的Python套件llama_cpp_python漏洞CVE-2024-34359相当值得留意，因为有可能引发供应链攻击。资安业者Checkmarx指出，在AI技术与数据共享平台Hugging Face有超过6千个模型以此套件打造而曝险。

【5月21日】金融木马Grandoreiro传出东山再起，黑客攻击范围从拉丁美洲扩及全球逾60个国家

恶名昭彰的金融木马Grandoreiro，曾在今年1月跨国执法行动后消声匿迹，但最近有研究人员提出警告，这些黑客准备了2个月就卷土重来，而且发动攻击的范围变得更广，从拉丁美洲扩及全世界。

究竟黑客如何大幅增加攻击的力道及范围？研究人员推测，对方很有可能通过恶意软件租赁服务的方式，吸引许多打手上门、加入攻击的行列。

【5月22日】针对研究人员指控修补NAS操作系统漏洞速度太慢，威联通发布声明说明处理进度

想要快速处理漏洞的修补，单靠研究人员及早通报是不够的，IT设备厂商必须设法加快漏洞的确认与修补，最近资安业者揭露NAS厂商威联通产品漏洞，再度突显此问题的影响。上周五（5月17日）资安业者watchTowr表示，他们已向威联通通报15个NAS漏洞，但仅有4个完成修补，大部分从通报至今已超过4个月却尚未处理。

事隔4日，威联通发布新闻稿公布处理情形，罕见的是，他们也对于修补速度过慢的情况做出承诺，表明日后针对重大及高风险层级漏洞，将于45日内完成处理，并发布修补程序。

【5月23日】微软推出AI电脑新功能Recall引发隐私争议，英国主管机官宣布启动调查

微软近日揭露新一代NPU加速的AI笔电，并将其命名为Copilot+ PC，主打内置40多个地端AI模型和原生AI应用程序，包括能快速找出所需信息的Recall、图像创作Cocreator，以及能将四十多种语言即时翻译为英文的即时字幕（Live Caption）等AI加持的工具。

然而值得留意的是，以背景快照记录用户活动，以便用户搜索电脑文件及上网活动的Recall，公布后便引发外界对于隐私上的争议，英国个资保护主管机关宣布将介入调查此事。

【5月24日】研究人员揭露中国黑客组织APT41的作案工具KeyPlug，并指出有可能也提供当地资安业者安洵运用

最近有研究人员针对恶名昭彰的中国黑客黑客组织APT41攻击行动进行调查，并指出对方使用名为KeyPlug的后门程序攻击意大利的企业组织，其手法相当复杂、刁钻。

虽然这并非这些黑客首度运用KeyPlug，但研究人员比对这次的作案工具特征，认为他们疑似曾更换软件的名称提供中国资安业者安洵使用，这间接印证两者之间有合作关系的现象。